第 17 章 认证和互操作性

一组 Apache 模块已作为技术预览添加到 Red Hat Enterprise Linux 6.6 中。Web 应用可以使用 mod_authnz_pam、mod_intercept_form_submit 和 mod_lookup_identity Apache 模块，供 Web 应用用于实现与外部身份验证和身份来源的紧密交互，如 Red Hat Enterprise Linux 中的身份管理。

Kerberos 版本 1.10 添加了一个新的缓存存储类型 DIR:，它允许 Kerberos 同时为多个密钥分发中心(TGT)维护 Ticket Granting Tickets (TGT)，并在它们之间自动选择使用 Kerberized 资源。Red Hat Enterprise Linux 6.4 及更新的版本包括 SSSD，允许用户为使用 SSSD 登录的用户选择 DIR: 缓存。这个功能作为技术预览引进。

软件包： sssd-1.13.3

身份管理(IdM)提供的 Cross-Forest Kerberos Trust 功能作为技术预览包括在内。此功能允许在 IdM 和 Active Directory (AD)域之间创建信任关系。这意味着 AD 域中的用户可使用其 AD 凭证访问 IdM 域中的资源和服务。不需要在 IdM 和 AD 域控制器之间同步数据；AD 用户总是针对 AD 域控制器进行身份验证，并且查找有关用户的信息，而无需同步。

此功能由可选的 ipa-server-trust-ad 软件包提供。此软件包取决于 samba4 中仅提供的功能。因为 samba4 github 软件包与对应的 samba github 软件包冲突，所以必须在安装 ipa-server-trust-ad 之前删除所有 samba github 软件包。

安装 ipa-server-trust-ad 软件包时，必须在所有 IdM 服务器和副本中运行 ipa-adtrust-install 工具，以便 IdM 能够处理信任。完成后，可以使用 ipa trust-add 命令或 IdM Web UI 从命令行建立信任。如需更多信息，请参阅 Red Hat Enterprise Linux 的身份管理指南。

请注意，红帽建议将 Red Hat Enterprise Linux 6 IdM 客户端连接到 Red Hat Enterprise Linux 7 IdM 服务器，以获取跨林信任功能。运行 Red Hat Enterprise Linux 7 的服务器上完全支持信任。也支持使用连接到 Red Hat Enterprise Linux 7 服务器的 Red Hat Enterprise Linux 6 客户端进行跨林信任的 Red Hat Enterprise Linux 6 客户端。在这样的设置中，建议在客户端使用最新版本的 Red Hat Enterprise Linux 6 以及服务器端的最新版本 Red Hat Enterprise Linux 7。

软件包： ipa-3.0.0 和 samba-3.6.23